¶ Предисловие
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от _____ 2026 года № ____ «О введении в действие новых редакций стандартов Банка России и стандарта Банка России».
Настоящий Стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
¶ Введение
Стандарт содержит описание общих правил взаимодействия Поставщиков услуг и Сторонних поставщиков услуг, используемых в процессе получения информации о банковских счетах Пользователя в среде Открытых программных интерфейсов.
¶ Область применения
Стандарт применяется при предоставлении финансовых и иных сервисов с использованием API в среде Открытых программных интерфейсов, разработке спецификаций API по получению информации о счете третьей стороной.
Стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями, связанными с получением информации о банковском счете.
1. Стандарт предназначен для использования организациями при обмене сообщениями, связанными с получением информации о финансовых продуктах, счетах и других финансовых инструментах Пользователя, а также связанной с ними информации.
2. Настоящий стандарт предназначен для:
a. участников обмена информацией о финансовых продуктах, счетах и других финансовых инструментах Пользователя, а также связанной с ними информацией;
b. разработчиков информационного и программного обеспечения.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность их применения не установлена нормативными актами Банка России или условиями договоров.
Положения настоящего стандарта применяются совместно со следующими документами:
- СТО БР «Открытые программные интерфейсы. Общие положения».
- СТО БР «Открытые программные интерфейсы. Глоссарий».
- СТО БР «Открытые программные интерфейсы. Общие требования к прикладным стандартам».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Спецификация API. Описание взаимодействия».
- СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к банковским счетам Пользователя. Методы для Физических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к банковским счетам Пользователя. Методы для Юридических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Методы для Физических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Методы для Юридических Лиц. Спецификация API».
¶ Термины и определения
В Стандарте применяются следующие термины, сокращения и определения в соответствии с документом СТО БР «Открытые программные интерфейсы. Глоссарий».
¶ Цель и назначение взаимодействия
Настоящий Стандарт описывает модель взаимодействия между Сторонними поставщиками услуг (СПУ) и Поставщиками услуг (ПУ). Данное взаимодействие осуществляется с целью предоставления Пользователю Информационного сервиса.
Стандарт устанавливает правила для такого взаимодействия, преследуя следующие цели:
- повышение качества и удобства финансовых услуг для Пользователя за счет возможности консолидированного управления информацией из различных источников;
- создание основы для разработки Сторонними поставщиками услуг инновационных и конкурентоспособных клиентских сервисов;
- обеспечение безопасного, прозрачного и контролируемого Пользователем обмена данными между участниками среды Открытых программных интерфейсов.
Информационный сервис предусматривает возможность проведения анализа данных Пользователя по одному или нескольким счетам, включая общие данные по остаткам, детализацию по операциям, а также данные по продуктам, привязанным к счету.
Информационный сервис предоставляется Пользователю Сторонним поставщиком услуг в соответствии с правилами, определяемыми Сторонним поставщиком услуг с учетом требований среды Открытых программных интерфейсов.
¶ Схема взаимодействия
Общая схема взаимодействия участников в рамках предоставления Информационного сервиса выглядит следующим образом:
(1) Пользователь инициирует процесс получения услуги, требующей информацию о счете на стороне Стороннего поставщика услуг.
(2) Сторонний поставщик услуг создает согласие на стороне Поставщика услуг, согласие не имеет юридической силы до авторизации Пользователя на стороне Поставщика услуг. (Черновик согласия).
(3) Пользователь авторизует согласие на стороне Поставщика услуг, подтверждая свое желание предоставить Стороннему поставщику услуг данные о счете. Авторизованное согласие дает разрешение Стороннему поставщику услуг получать информацию по счету Пользователя от Поставщика услуг.
(4) Сторонний поставщик услуг запрашивает и получает данные о согласии от Поставщика услуг.
(5) Сторонний поставщик услуг запрашивает данные о счете Пользователя у Поставщика услуг.
(6) Сторонний поставщик услуг получает данные о счете Пользователя от Поставщика услуг, на основании предоставленного согласия.
(7) На основании полученных данных Сторонний поставщик услуг предоставляет Пользователю услугу, которую Пользователь инициировал на шаге(1).
¶ Согласие на доступ
Процесс получения согласия является ключевым элементом взаимодействия и позволяет Пользователю безопасно и контролируемо предоставлять Стороннему поставщику услуг разрешение на доступ к своим данным у Поставщика услуг.
Процесс получения согласия состоит из двух ключевых этапов: инициирование запроса Сторонним поставщиком услуг и авторизация этого запроса Пользователем у Поставщика услуг.
1. Инициирование запроса на согласие (client credentials flow).
Сначала Сторонний поставщик услуг, аутентифицируя себя на сервере ПУ как доверенное приложение, инициирует создание запроса на согласие. Он передает Поставщику параметры запрашиваемого доступа (например, какие данные нужны и на какой срок). В ответ Поставщик услуг создает ресурс согласия в статусе "ожидает авторизации" и возвращает Стороннему поставщику услуг его уникальный идентификатор (consentId). На этом этапе взаимодействие происходит между двумя системами без участия Пользователя.
2. Авторизация согласия Пользователем (hybrid flow).
Получив consentId, Сторонний поставщик услуг перенаправляет Пользователя на защищенную страницу Поставщика услуг для авторизации этого конкретного запроса. Пользователь проходит аутентификацию на стороне Поставщика услуг (например, вводит логин и пароль от интернет-банка), проверяет детали запрашиваемого доступа и явно подтверждает свое согласие.
После успешного подтверждения Поставщик услуг сообщает Стороннему поставщику услуг, что согласие авторизовано, и предоставляет ему технические средства (токен доступа) для получения данных в рамках выданного разрешения.
Пользователь может управлять своими согласиями, в том числе давать одно или несколько согласий одному или разным Поставщикам услуг.
Формирование согласия Пользователя Поставщиком услуг на доступ к информации по счету Стороннего поставщика услуг включает в себя следующие шаги:
- подтверждение Пользователем намерения использовать услугу по предоставлению Информационного сервиса Стороннего поставщика услуг;
- инициация запроса на создание согласия во взаимодействии Стороннего поставщика услуг с Поставщиком услуг;
- авторизация согласия во взаимодействии Поставщика услуг с Пользователем;
- запрос состояния согласия Сторонним поставщиком услуг;
- информирование Пользователя о состоянии согласия Сторонним поставщиком услуг.
Для синхронизации информации Сторонний поставщик услуг может направлять Поставщику услуг запросы для получения актуальной информации о состоянии согласия.
Согласие Пользователя начинает действовать после его успешной авторизации Пользователем на стороне Поставщика услуг.
Согласие Пользователя прекращает действие:
- когда Пользователь отзывает свое согласие (на стороне Поставщика услуг или Стороннего поставщика услуг);
- по завершению срока действия согласия;
- когда допуск Стороннего поставщика услуг или Поставщика услуг как участника среды Открытых программных интерфейсов был приостановлен или остановлен.
6.1 Информирование о содержании Информационного сервиса
Сторонний поставщик услуг должен предварительно информировать Пользователя о содержании предлагаемого Информационного сервиса, предоставив сведения, достаточные для принятия Пользователем обоснованного решения о начале использования Информационного сервиса, включая:
- цель и общее описание Информационного сервиса;
- информацию о защите прав Пользователя в соответствии с требованиями стандарта СТО БР «Открытые программные интерфейсы. Общие положения»;
- данные о других сторонах, кроме Стороннего поставщика услуг, если они смогут иметь доступ к предоставляемой Пользователем информации в обезличенном виде;
- сведения об организации в реестре участников среды Открытых программных интерфейсов на допуск как участника среды в роли Стороннего поставщика услуг;
- срок действия согласия может быть выбран Пользователем в процессе его выдачи;
- информацию о возможности отказа Пользователя от согласия и последствиях этого отказа с точки зрения предоставления Информационного сервиса Сторонним поставщиком услуг и управления Пользователем ранее использованных данных;
- другие сведения об Информационном сервисе на усмотрение Стороннего поставщика услуг.
Сторонний поставщик услуг не должен запрашивать согласие Пользователя на получение данных, не связанных с целями предоставляемого Информационного сервиса. Пользователь подтверждает Стороннему поставщику услуг намерение получать информацию о счете через Информационный сервис Открытых программных интерфейсов и дать согласие Стороннему поставщику услуг на доступ к своим данным, содержащее информацию о том, к каким данным Пользователь готов предоставить доступ, срок действия согласия и даты начала и окончания периода операций по счету, к которым относится данное согласие.
6.2 Подтверждение намерения
Для подтверждения намерения об использовании услуги по предоставлению Информационного сервиса Пользователь заполняет параметры согласия на стороне Стороннего поставщика услуг.
Сторонний поставщик услуг должен предоставить Пользователю возможность выбора Поставщика услуг, чтобы запрос на согласие мог быть направлен Сторонним поставщиком услуг в соответствии с содержанием запроса.
После подтверждения выбора Пользователь переходит к Поставщику услуг для авторизации согласия Пользователя, о чем Сторонний поставщик услуг должен сообщить Пользователю до осуществления перенаправления.
Сторонний поставщик услуг должен разъяснить Пользователю назначение каждого параметра согласия и последствия его применения, предоставить возможность просмотреть детали согласия.
К параметрам согласия относятся:
- Указание типа данных, к которым Пользователь готов предоставить доступ: счет; баланс; операции по счету; выписка; привязанные к счету продукты.
- Указание категорий (кластеров) данных с учетом права Пользователя предоставлять базовую или детализированную информацию для анализа Сторонним поставщиком услуг.
Пользователь указывает категории данных, к которым Сторонний поставщик услуг получает доступ (например, базовая/детализированная информация). Базовые данные входят в состав детализированных, при отсутствии детализации все данные соответствующего типа рассматриваются в качестве базовых.
Пользователь может просматривать и управлять атрибутами согласия (срок действия, даты начала/окончания периода операций) в рамках доступного функционала в интерфейсе Поставщика услуг.
Во всех случаях Пользователь должен указывать как типы, так и категории данных для доступа к ним Стороннего поставщика услуг. А также:
- Дата и время истечения срока действия согласия. В случае, если дата истечения не указана Пользователем, максимальный срок действия такого согласия определяется внутренними политиками Поставщика Услуг, на стороне которого выдается согласие, с учетом действующего регулирования и целей предоставления согласия.
- Даты начала и окончания периода операций по счету, к которым относится данное согласие. Являются не обязательными для заполнения, одна дата может быть указана без другой.
- Счета, по которым Пользователь разрешает Поставщику услуг предоставлять данные Стороннему поставщику услуг. Этот параметр заполняется Пользователем на этапе авторизации согласия Поставщиком услуг.
6.3 Создание согласия
Для создания согласия Сторонний поставщик услуг направляет запрос Поставщику услуг, содержащий в неизменном виде определенные Пользователем реквизиты согласия.
Поставщик услуг определяет актуальность допуска Стороннего поставщика услуг в реестре участников среды Открытых программных интерфейсов, проводит контроль содержания реквизитов согласия на соответствие установленным шаблонам, определяет возможность предоставления Информационного сервиса Пользователю и сообщает о результатах контроля Стороннему поставщику услуг.
При положительных результатах Поставщик услуг ожидает перенаправления к нему Пользователя Сторонним поставщиком услуг для авторизации согласия.
При отрицательных результатах Сторонний поставщик услуг направляет Пользователю сообщение с учетом содержания сообщения Поставщика услуг об отрицательных результатах контроля.
6.4 Авторизация согласия
Получив от Поставщика услуг сообщение о положительных результатах контроля согласия, Сторонний поставщик услуг информирует Пользователя о необходимости завершить авторизацию и предлагает ему перейти на ресурс Поставщика услуг. После подтверждающего действия Пользователя, Сторонний поставщик услуг инициирует процесс авторизации.
После перехода Пользователя, Поставщик услуг проводит аутентификацию Пользователя требуемым методом и подтверждает Пользователю данные по Стороннему поставщику услуг согласно допуску последнего к среде Открытых программных интерфейсов.
Поставщик услуг должен исключить возможность изменения полученного согласия, а также предоставить Пользователю список доступных счетов, по которым Поставщику услуг разрешается предоставлять данные Стороннему поставщику услуг. Пользователь должен выбрать хотя бы один счет.
Пользователь проверяет корректность данных по Стороннему поставщику услуг, неизменность предоставленных им ранее параметров согласия и завершает авторизацию согласия подтверждающим действием, принятым Поставщиком услуг способом.
Авторизация согласия не выполняется в случае, если Пользователь отказался подтвердить согласие или не выбрал хотя бы один счет.
6.5 Информирование о состоянии согласия
При завершении авторизации Поставщик услуг подтверждает Стороннему поставщику услуг ввод в действие согласия (авторизованное согласие).
Одновременно Поставщик услуг уведомляет Пользователя о возможности вернуться обратно к Стороннему поставщику услуг.
6.6 Уведомление о состоянии согласия
При получении подтверждения от Поставщика услуг Сторонний поставщик услуг уведомляет Пользователя о завершении авторизации согласия.
Для поддержания согласия в активном состоянии Стороннему поставщику услуг рекомендуется своевременно предлагать Пользователю повторную авторизацию текущего согласия (в случае перевыпуска токенов для действующего согласия в результате утери или истечения срока токенов, согласно «СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Спецификация API. Описание взаимодействия», п. «Повторная авторизация согласия»).
В случае, если Пользователь не производит повторную авторизацию, доступ к данным по такому согласию приостанавливается до момента прохождения следующей успешной авторизации, но не позднее истечения общего срока действия согласия (expirationDateTime).
Пользователь должен иметь возможность в любой момент ознакомиться с полной версией согласия как на стороне Стороннего поставщика услуг, так и на стороне Поставщика услуг.
Описание согласия предоставляется для каждого согласия отдельно в разрезе типов данных и их категорий для отображения в отдельности каждого разрешения на данные.
6.7 Отзыв, изменение согласия
Пользователь должен иметь возможность отозвать согласие как через Стороннего поставщика услуг, так и со стороны Поставщика услуг.
В случае необходимости изменения согласия Пользователю потребуется отозвать действующее согласие, в котором планируются изменения, и создать новое согласие.
Если счет, по которому дано согласие, перестает быть доступным для Пользователя, то данный счет удаляется из списка предоставления доступа, при этом Поставщик услуг не отменяет доступ Стороннего поставщика услуг к другим счетам, связанным с тем же авторизированным согласием.
6.7.1 Инициирование отзыва согласия через Стороннего поставщика услуг
Отзыв согласия Пользователя включает в себя следующие шаги:
- отзыв согласия, направляемый Пользователем Стороннему поставщику услуг;
- направление Сторонним поставщиком услуг запроса Поставщику услуг о необходимости удаления согласия;
- подтверждение об удалении согласия, направляемое Поставщиком услуг Стороннему поставщику услуг;
- уведомление Сторонним поставщиком услуг Пользователя об удалении согласия.
Сторонний поставщик услуг должен обеспечить Пользователю возможность просматривать в удобном виде все действующие согласия и отзывать свои согласия в любое время.
При отзыве согласия, направляемого Пользователем, Сторонний поставщик услуг должен разъяснить Пользователю последствия отмены согласия, сообщив, что он не сможет предоставлять конкретную услугу Пользователю.
После направления Сторонним поставщиком услуг сообщения Поставщику услуг удаление согласия происходит без участия Пользователя. При этом должно быть гарантировано, что Поставщик услуг подтвердит удаление согласия Стороннему поставщику услуг и не будет принимать инициированные от него запросы на получение данных по отозванному согласию.
Вместе с последующим уведомлением Сторонним поставщиком услуг Пользователя об удалении согласия Поставщику услуг целесообразно дополнительно информировать Пользователя по своим каналам об удалении согласия.
6.7.2 Отзыв со стороны Поставщика услуг
Поставщик услуг должен обеспечить Пользователю возможность просматривать в удобном виде все действующие согласия и отзывать свои согласия в любое время.
Сторонний поставщик услуг может направлять Поставщику услуг запросы для получения актуальной информации о состоянии согласий.
6.7.3 Управление использованными данными
В соответствии с требованиями Федерального закона № 152-ФЗ "О персональных данных", после отзыва согласия Пользователем дальнейшее использование его данных не допускается, за исключением случаев, предусмотренных законодательством РФ.
В рамках исполнения этих требований Сторонний поставщик услуг обязан предоставить Пользователю возможность управлять данными, полученными в рамках согласия. Пользователю должны быть доступны опции полного или частичного удаления данных, а также их обезличивания.
Сторонний поставщик услуг должен информировать Пользователя о последствиях каждого действия, а также как конкретный выбор повлияет на дальнейшее предоставление Информационного сервиса.
Детальные требования к процедурам информирования, удаления и обезличивания данных определены в документе «СТО БР «Открытые программные интерфейсы. Общие положения», пункт 4.4.2.
¶ Набор данных
Для получения данных в соответствии с авторизованным согласием Сторонний поставщик услуг направляет Поставщику услуг запрос на предоставление сведений по счетам Получателя, к которым предоставлен доступ Стороннему поставщику услуг.
На основе полученных сведений Сторонний поставщик услуг формирует целевые запросы в адрес Поставщика услуг для получения данных по конкретным счетам, группам счетов или по всем счетам, к которым разрешен доступ Стороннему поставщику услуг в соответствии с согласием, и представляет с учетом этих данных запрошенную Пользователем услугу.
7.1 Стандартом предусмотрена возможность предоставления Пользователем доступа Стороннему поставщику услуг к следующим основным данным по его счетам.
Реализация ПУ всех перечисленных ниже блоков данных является обязательной, если иное не указано отдельно*.*
Счет (для физических и юридических лиц):
- уникальный идентификатор счета (AccountId);
- статус счета (Status);
- валюта ведения счета (Currency);
- тип счета (AccountType);
- описание назначения счета (AccountDescription).
Баланс (для физических и юридических лиц):
- тип остатка (Type);
- сумма остатка (Amount);
- признак дебета/кредита (CreditDebitIndicator);
- дата и время расчета остатка (DateTime);
Примечание: Информация о кредитных лимитах может передаваться как один из типов баланса.
Операции по счету (для физических лиц):
- история движения средств по счету (включая сумму, дату, статус и направление операции);
- статус проведения операции.
Выписка (только для юридических Лиц):
- информация по операциям на счете за выбранный период;
- детализация операций (назначение);
- статус проведения операции.
Платежные карты (только для физических лиц, реализация опциональна):
- общая информация о платежных картах;
- нечувствительные данные (маскированный номер, тип, срок действия);
Финансовые продукты (только для физических лиц, реализация опциональна):
- список банковских продуктов, привязанных к счету;
- основная информация о продуктах.